Rate, limita le richieste con etichette specifiche - AWS WAF, AWS Firewall Manager e AWS Shield Advanced

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Rate, limita le richieste con etichette specifiche

Per limitare il numero di richieste di varie categorie, puoi combinare la limitazione della velocità con qualsiasi regola o gruppo di regole che aggiunga etichette alle richieste. A tale scopo, configurate il vostro sito web ACL come segue:

  • Aggiungi le regole o i gruppi di regole che aggiungono etichette e configurali in modo che non blocchino o consentano le richieste che desideri limitare. Se utilizzi gruppi di regole gestiti, potresti dover sovrascrivere alcune azioni delle regole del gruppo di regole per Count per ottenere questo comportamento.

  • Aggiungi una regola basata sulla tariffa al tuo Web ACL con un'impostazione numerica di priorità superiore alle regole di etichettatura e ai gruppi di regole. AWS WAF valuta le regole in ordine numerico, a partire dalla più bassa, in modo che la regola basata sulla tariffa venga eseguita dopo le regole di etichettatura. Configura la limitazione della velocità sulle etichette utilizzando una combinazione tra la corrispondenza delle etichette nell'istruzione scope-down della regola e l'aggregazione delle etichette.

L'esempio seguente utilizza l'elenco di reputazione degli IP di Amazon. AWS Gruppo di regole Managed Rules. La regola del gruppo di regole AWSManagedIPDDoSList rileva ed etichetta le richieste di cui è noto che IPs sono coinvolte attivamente in DDoS attività. L'azione della regola è configurata su Count nella definizione del gruppo di regole. Per ulteriori informazioni sul gruppo di regole, vedereGruppo di regole gestito con Amazon IP Reputation List.

Il seguente ACL JSON elenco Web utilizza il gruppo di regole di reputazione IP seguito da una regola basata sulla frequenza di abbinamento delle etichette. La regola basata sulla frequenza utilizza un'istruzione scope-down per filtrare le richieste contrassegnate dalla regola del gruppo di regole. L'istruzione della regola basata sulla frequenza aggrega e limita la velocità delle richieste filtrate in base ai relativi indirizzi IP. 

{
  "Name": "test-web-acl",
  "Id": ... 
  "ARN": ...
  "DefaultAction": {
    "Allow": {}
  },
  "Description": "",
  "Rules": [
    {
      "Name": "AWS-AWSManagedRulesAmazonIpReputationList",
      "Priority": 0,
      "Statement": {
        "ManagedRuleGroupStatement": {
          "VendorName": "AWS",
          "Name": "AWSManagedRulesAmazonIpReputationList"
        }
      },
      "OverrideAction": {
        "None": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "AWS-AWSManagedRulesAmazonIpReputationList"
      }
    },
    {
      "Name": "test-rbr",
      "Priority": 1,
      "Statement": {
        "RateBasedStatement": {
          "Limit": 100,
          "EvaluationWindowSec": 300,
          "AggregateKeyType": "IP",
          "ScopeDownStatement": {
            "LabelMatchStatement": {
              "Scope": "LABEL",
              "Key": "awswaf:managed:aws:amazon-ip-list:AWSManagedIPDDoSList"
            }
          }
        }
      },
      "Action": {
        "Block": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "test-rbr"
      }
    }
  ],
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "test-web-acl"
  },
  "Capacity": 28,
  "ManagedByFirewallManager": false,
  "LabelNamespace": "awswaf:0000000000:webacl:test-web-acl:"
}